第一個有關信息技術安全評價的標準誕生于八十年代的美國，就是著名的“可信計算機系統評價準則”（tcsec，又稱桔皮書）。該準則對計算機操作系統的安全性規定了不同的等級。從九十年代開始，一些國家和國際組織相繼提出了新的安全評價準則。1991年，歐共體發布了“信息技術安全評價準則”（itsec）。1993年，加拿大發布了“加拿大可信計算機產品評價準則”（ctcpec），ctcpec綜合了tcsec和itsec兩個準則的優點。同年，美國在對tcsec進行修改補充并吸收itsec優點的基礎上，發布了“信息技術安全評價聯邦準則”（fc）。
1993年6月，上述國家共同起草了一份通用準則（cc），并將cc推廣為國際標準。cc發布的目的是建立一個各國都能接受的通用的安全評價準則，國家與國家之間可以通過簽訂互認協議來決定相互接受的認可級別，這樣能使基礎性安全產品在通過cc準則評價并得到許可進入國際市場時，不需要再作評價。此外，國際標準化組織和國際電工委也已經制訂了上百項安全標準，其中包括專門針對銀行業務制訂的信息安全標準。國際電信聯盟和歐洲計算機制造商協會也推出了許多安全標準。

美國可信計算機安全評價標準（tcsec）

tcsec標準是計算機系統安全評估的第一個正式標準，具有劃時代的意義。該準則于1970年由美國國防科學委員會提出，并于1985年12月由美國國防部公布。tcsec最初只是軍用標準，后來延至民用領域。tcsec將計算機系統的安全劃分為4個等級、8個級別。

d類安全等級：d類安全等級只包括d1一個級別。d1的安全等級最低。d1系統只為文件和用戶提供安全保護。d1系統最普通的形式是本地操作系統，或者是一個完全沒有保護的網絡。
c類安全等級：該類安全等級能夠提供審慎的保護，并為用戶的行動和責任提供審計能力。c類安全等級可劃分為c1和c2兩類。c1系統的可信任運算基礎體制（trusted computing base，tcb）通過將用戶和數據分開來達到安全的目的。在c1系統中，所有的用戶以同樣的靈敏度來處理數據，即用戶認為c1系統中的所有文檔都具有相同的機密性。c2系統比c1系統加強了可調的審慎控制。在連接到網絡上時，c2系統的用戶分別對各自的行為負責。c2系統通過登陸過程、安全事件和資源隔離來增強這種控制。c2系統具有c1系統中所有的安全性特征。